Registrazione delle connessioni in uscita mentre si verificano

Esiste un modo per accedere per archiviare tutte le connessioni in uscita create da un processo? Sono consapevole, netstatma sembra essere più un'istantanea di un punto nel tempo piuttosto che qualcosa che esegue e registra le informazioni in un determinato periodo.

Ho solo bisogno dell'IP o del nome host, della porta e del processo che effettua la connessione.

Su Linux, è possibile configurare il sottosistema di controllo per registrare ogni tentativo di stabilire una connessione di rete. Per informazioni sul sottosistema di controllo, leggere la auditctlpagina man o questa esercitazione o altri esempi su questo sito . Installa il auditdpacchetto della tua distribuzione, se necessario, quindi

auditctl -A exit,always -S connect

I registri sono presenti /var/log/audit/audit.login tutte le distribuzioni che conosco. Puoi anche cercarli con ausearch.

Se sei in grado di installare un kernel personalizzato, dovresti dare un'occhiata a SystemTap . Ci sono molti esempi su come tracciare l'attività di rete.

Su Linux, puoi usarlo ip_conntrackper farlo. È un modulo di tracciamento delle connessioni, utilizzato normalmente per monitorare le connessioni per protocolli con comportamenti strani (come FTP) che devono essere gestiti da un firewall / NAT box.

modprobe ip_conntrack
cat /proc/net/ip_conntrack

Puoi grep lo pseudo-file per vedere le connessioni stabilite e inoltre grep l'IP di origine per vedere quando proviene dalla tua casella.

Vorrei esaminare l'utilizzo tcpdumpsull'interfaccia in uscita guardando le SYNrichieste in uscita .

Se ti senti davvero avventuroso, potresti fare utility come: straceo trusssegnalare tutte connectle chiamate di sistema mentre tracci l'esecuzione del programma, ma questo è un po 'più pericoloso e ha degli svantaggi quando si tratta di processi multithread.